Audyt bezpieczeństwa (programy) cz. 1. Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl

Audyt bezpieczeństwa (programy) cz. 1 Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl

Audyt bezpieczeństwa programy cz. 1 Nmap i Zenmap Nesuss 2

Nmap i Zenmap 3

Nmap i Zenmap Nmap(z ang. Network mapper) jest najpopularniejszy i przez wielu fachowców uznawany za najlepszy program służący do skanowania w sieciach opartych na stosie TCP/IP. To profesjonalne i uniwersalne narzędzie autorstwa Gordona Lyona (alias Fyodor) rozwijane jest od roku 1997. Program implementuje wiele różnych technik testowania portów warstwy transportowej, w tym takie, które potencjalnie mogą omijać zapory ogniowe lub systemy wykrywania intruzów (IDS). Nmap posiada, także możliwość identyfikacji systemów operacyjnych na skanowanych komputerach. 4

Nmap i Zenmap 5

Nmap i Zenmap Nmap występuję w postaci: programu zintegrowanego z wierszem poleceń systemu operacyjnego w wersji posiadającej interfejs graficzny ta wersja jest udostępniana pod nazwą Zenmap. Dzięki nakładce graficznej nmap staje się łatwym narzędziem do użycia, także dla niedoświadczonych użytkowników. Zenmap funkcjonalnie niczym nie ustępuje wersji konsolowej nmapa. Korzystając z zakładki Topology można uzyskać dostęp do graficznej interpretacji skanowanej sieci. 6

Nmap i Zenmap Nmap jest programem darmowym wydawanym na zasadach licencji GNU General Public License. Obecnie projekt ten jest dostępny na wiele platform systemowych : Linux, Microsoft Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS. Do działania Nmap wymaga obecności w systemie biblioteki: Libpcap dla systemów uniksowych Winpcap dla systemów Windows. 7

Nmap i Zenmap Nmap jest przykładem skanera aktywnego Generuje duże ilości ruchu w sieci (co ma związek z jego ogromną skutecznością) co czynie ja łatwym do wykrycia. Należy jednak pamiętać, że ideą powstania projektu było wydanie uniwersalnego darmowego programu, który byłby w stanie aktywnie sprawdzić i poprzez to zwiększyć bezpieczeństwo komputerów w sieci. 8

Nmap i Zenmap Nmap oferuje kilka formatów, włącznie z trybem interaktywnym i trybem XML - do lepszej integracji z innymi programami. Posiada opcje pozwalające na kontrolowanie poziomu szczegółowości dostarczanych informacji oraz komunikatów do śledzenia błędów. Wyniki mogą być przekazywane do standardowego wyjścia jak i do plików (w trybie tzw. zastępowania lub dołączania). Wygenerowane pliki mogą również być wykorzystywane do wznowienia przerwanych skanowania. 9

Nmap i Zenmap Nmap pozwala na uzyskanie pięciu różnych formatów raportów. Domyślny (format interaktywny) - wykorzystywany w połączeniu ze standardowym wyjściem. Format normalny- wyświetla mniej rutynowych informacji i ostrzeżeń, ponieważ jest przewidziany raczej do przeprowadzenia późniejszej analizy, niż do interaktywnego oglądania w trakcie skanowania. Tryb XML jest jednym z najważniejszych, jako że może zostać przekonwertowany na HTML lub przetworzony przez inne aplikacje, także do bazy danych. Pozostałe dwa to proste formaty: pozwalający na łatwe przetwarzanie za pomocą wyrażeń regularnych (grep), format script KiDDi3 0utPUt. 10

Nmap i Zenmap Program był wielokrotnie wyróżniany zdobył m.in. tytuł Information Security Product of the Year jako najlepszy produkt z zakresu bezpieczeństwa nadany mu wspólnie przez Linux Journal, Info World, LinuxQuestions.Org i Codetalker Digest. Jest tak popularny, że pojawił się nawet w kilku filmach m.in. Matrix Reaktywacja czy Szklana Pułapka 4. 11

Nmap i Zenmap Od roku 2002 Nmap obsługuje IPv6, w zakresie jego najpopularniejszych funkcji. W szczególności dostępne jest skanowanie ping (tylko TCP), TCP-connect i wykrywanie wersji. 12

Nmap i Zenmap Aby uruchomić skaner Nmap należy wydać polecenie zgodne z regułą: nmap [typ skanowania] [opcje] [cel] typ skanowania określony za pomocą parametru s oraz dodatkowej litery np. st, opcja charakterystyczna dla danego typu skanowania np. -U <lista portów>, cel może być zdefiniowany na kilka sposobów: jako pojedynczy adres IP: 172.17.0.22 podając nazwę komputera: host.domena.pl adres sieci z maską CIDR: domena.pl/24 lub 172.17.0.22/24 zakresy wartości dla określonego oktetu: 192.168.0-250.0-255 kilka celów jednocześnie: host.domena.pl, domena.pl/24, 172.17.0.22 13

Nmap i Zenmap Typ skanowania TCP-connect TCP SYN TCP FIN TCP ACK TCP XMAS TCP NULL skanowanie rozmiarem okna TCP UDP skanowanie z wykryciem wersji skanowanie ping skanowanie listy poprzez DNS skanowanie RPC bezczynne OS fingerprinting Parametr wywołujący -st -ss -sf -sa -sx -sn -sw -su -sv -sp -sl -sr -si -O 14

15

Nessus jest programem pod względem funkcjonalnym podobnym do Nmapa Wyróżnia się jednak rozbudowaną bazą błędów, aktualizowaną każdego dnia Nessus posiada możliwość łatwiej aktualizacji, wykorzystując do tego celu system wtyczek (pluginów Wtyczki tworzone są z użyciem specjalnego języka skryptowego NASL. 16

Producentem jest organizacja Tenable Network Security. Program do użytku niekomercyjnego jest darmowy. Do roku 2005 program był udostępniany na zasadach otwartego kodu. Projekt Nessus jest programem przeznaczonym na wiele platform systemowych zarówno dla systemów z rodziny Windows jak i większości systemów opartych o Unix. 17

Obecnie stabilna wersja jest opatrzona numerem 4.2. Według ankiety przeprowadzonej przez serwis www.sectools.org, zajmujący się tematyką bezpieczeństwa informatycznego, Nessus jest najbardziej popularnym skanerem słabości i luk w systemie Aplikacja ta znalazła się na pierwszym miejscu w roku 2000, 2003 i 2006 wśród oprogramowania związanego z bezpieczeństwem. 18

Nessus jest określany jako tzw. vulnerability scanner czyli skanerem słabości i podatności na ataki. Nessus wspiera następujące rodzaje audytów bezpieczeństwa: uwierzytelnione i nieuwierzytelnione skanowanie portów, skanowanie podatności na ataki sieciowe, audyt łat i poprawek dla Windows i większości platform uniksowych, audyt konfiguracji dla Windows i większości platform uniksowych, wydajne i kompleksowe testowanie bezpieczeństwa aplikacji stron trzecich np. itunes, JAVA, Skype czy Firefox; własne i wbudowane testy podatności na ataki aplikacji webowych, audyt konfiguracji bazy danych SQL, wyszczególnianie(enumeracja) oprogramowania na Unix i Windows, testowanie oprogramowania antywirusowego pod kątem aktualności sygnatur baz wirusów i błędów konfiguracyjnych. 19

Program zbudowany jest w oparciu o architekturę klient-serwer. Architektura działania jest różna w zależności czy Nessus działa na systemie Unix czy na Windows. Nessus do poprawnej pracy w Uniksie wymaga utworzenia profili użytkowników. W systemach uniksowych program składa się z nessusd deamona Nessusa oraz klienta nessus. Przy każdym starcie systemu program Nessus uruchamia proces serwera nessusd, który wykonuje skanowanie Aby móc skorzystać z aplikacji należy załogować się (login i hasło podane podczas konfiguracji skanera) wykorzystując program klienta czyli nessus, który kontroluje skanowanie i prezentuje wyniki skanowania użytkownikowi. Klient jest wyposażony w interfejs graficzny. W systemach Windows Nessus instaluje się jako standardowy program wykonywalny i posiada zintegrowany w całość system skanowania, raportowania i zarządzania programem. 20

Interfejs użytkownika Nessusa 4.2 oparty jest o klienta webowego, Zalecane przez producenta przeglądarki to: Internet Explorer 7 lub 8, Mozilla Firefox 3.5 lub Apple Safari. Obecnie Nessus do działania nie wymaga korzystania z wydzielonego programu klienckiego (typu NessusClient), gdyż całe zarządzanie serwerem programu odbywa się przez przeglądarkę internetową. Aby połączyć się z GUI programu Nessus należy w pasku adresu przeglądarki wpisać: https://[server IP]:8834/ gdzie server IP jest adresem IP komputera na którym jest zainstalowany serwer programu. 21

Następnie (po zatwierdzeniu certyfikatu SSL) wyskakuje strona na której trzeba podać login i hasła konta, które wcześniej zostało utworzone za pomocą menadżera serwera programu Nessus. Po załogowaniu pojawia się okno główne programu, zawierające dostęp do wszystkich opcji programu. Główne opcja dostępna to opcja Policy, służąca do definiowania polityki działania programu. Kolejne dostępne w głównym menu zakładki to: Reports raporty Scans skanowania Users użytkownicy 22

Wybierając zakładkę Policy mamy dostęp do konfiguracji opcji skanowania bezpieczeństwa i sprawdzania podatności na ataki. Parametry techniczne skanowania np. liczba hostów, porty, typy skanowania portów. Listy uwierzytelniające dla skanowania lokalnego (np. Windows, SSH), autentyfikowane skanowania baz danych Oracle, HTTP,FTP, POP czy autentyfikacja bazująca na protokole Kerberos. Wybór specyfikacji skanowania, np. opartej na wtyczkach. Testowanie zasad uległości baz danych i systemów uniksowych. Różnorodność form raportowania. Ustawienia detekcja skanowanych usług. 23

Po świeżej instalacji programu należy na zakładce Policy kliknąć na przycisk Add Policy aby dodać nową politykę. Na bocznym pasku dostępne będą cztery zakładki definiujące zachowanie się przyszłej zasady działania programu: General, Credentials, Plugins Preferences. Większość ustawień domyślnych zawartych na tych zakładkach nie wymaga modyfikacji są one dobrane optymalnie do działania programu, chyba że charakter przeprowadzanego skanowania wymaga zmian. 24

25

Zakładka General zawiera przede wszystkim opcje tyczące się przebiegu samego procesu skanowania i szczegóły działania jego mechanizmu. Istnieje tutaj możliwość ustawienia między innymi zakresu skanowanych portów czy typu używanego skanowania (skanowanie TCP, UDP, SYN, SNMP, Netstat SSH i WMI, pingowanie hostów). Na tej zakładce dostępne są, także opcje definiujące jak ma się zachować program podczas procesu skanowania i co robić z otrzymanymi wynikami skanowania. 26

Zakładka Credentials umożliwia konfiguracje opcji uwierzytelniających podczas wykonywania skanowania. Konfiguracja tych opcji zwiększa funkcjonalność przeprowadzanego skanowania oraz daję pełniejszy obraz bezpieczeństwa (lub jego braku) badanych systemów. W zależności od wyboru typu uwierzytelniania: Windows, Oracle, SSH, Kerberos lub protokoły ze zwykłym tekstem, należy wpisać dodatkowe informacje np. nazwy domeny, konto użytkownika, hasła, klucz publiczny, klucz prywatny itp. 27

28

Zakładka Plugins definiuje wybór zastosowanych wtyczek. Wszystkie wtyczki pogrupowane są w tzw. rodziny wtyczek. Dostępne są rodziny np. DNS, Cisco, Database, CGI abuses, FTP, Backdoors. Zakładka Preference umożliwia szczegółową kontrola ustawień skanowania i zastosowanych wtyczek. 29

Obecnie producent programu wspiera dwie metody komunikowania się z serwerem Nessusa: poprzez interfejs linii poleceń (tylko Unix) przez tzw. Security Center. Security Center stanowi interfejs online, umożliwiający, poprzez uprawnienia administracyjne, dostęp do wirtualnego serwera Nessus. Konfigurując Security Center uzyskuje się dostęp i kontrolę wirtualną do każdego skanera Nessus. Należy tylko określić odpowiedni obszar (zone) z którego Nessus ma działać w postaci zakresu adresów IP sieci. Aby uruchomić skanowanie konieczne jest podanie adresu IP skanera, port dla programu (domyslnie:1241), login administratora, typ autentyfikacji i hasło (utworzone podczas konfiguracji wstępnej Nessusa). W przypadku wyboru metody autentyfikacji SSL Certificate pola 30 hasłowe są niedostępne.

Interfejs linii poleceń do konfiguracji serwera programu jest przeznaczony dla systemu Unix (konfiguracja w trybie wsadowym pod Windows - uruchomić aplikację nessus.exe) Składnia poleceń dla systemu Unix wygląda następująco: # /opt/nessus/bin/nessus q [-pps] <host> <port> <user> <password> <targets-file> <result-file> -q Tryb wsadowy, skanowanie nieinterakcyjne. -p Dostęp do listy wtyczek zainstalowanych na serwerze -P Dostęp do listy preferencji serwera i wtyczek. -S Wynik w postaci SQL dla opcji -p i P. <host> <port> <user> <password> <targets-file> <results-file> Określa komputer na którym znajduję się klient. Określa port na którym będzie połączenie z klientem. Określa użytkownika do połączenia z klientem. Hasło skojarzone z nazwą użytkownika. Nazwa pliku - listę docelowych maszyn do skanowania. Nazwa pliku, gdzie zostaną zapisane rezultaty skanowania. 31

Audyt oprogramowania K O N I E C